تم تحميل هذا الكتاب من موقع كتب 
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في مثالنا اليوم سنتعرف على كيفية إستخراج الأوامر من الملف التنفيذي , وسنتعرف 
على طريقة إستخدام الدوال بداخل البرامج رور 


مثال : هل شاهدت برنامج تنفيذي يحتوي على زر أمر وعند الضغط علية فإنة يقوم بعمل ما ؟! 
متلا فتح السيدي ,, إظهار نافذة معينة , إغلاق الجهاز , إظهار معلومة معينة ,, والكثير.. 


هل تريد معرفة الكود أو فكرة الكود المكتوب بداخل هذا الأمر ؟! 
هل تريد إحتراف النبش في أكواد الملف التنفيذي ؟! 


في الملف المرفق ستجد ملف تنفيذي , وهو الملف الذي سنطبق علية الدرس 


وستجد أیضا ملف مضغوط آخر بالإسم ملهS؟‏ هذا الملف يحتوي على الشفرة 
المصدرية للملف التنفيذي لكي نقارن بين ماحصانا علية بالبرمجة العكسية , وبين الكود الأصلي 


نبدأ في الموضوع : 


شغل الملف التنفيذي , وجرب الأوامر الموجودة في النافذة , وبعد ذلك أغلق البرنامج 
ثم قم بإخراج الملف التنفيذي من الملف المضغوط إلى أي مجلد , 


شغل برنامج ر[1م ومن قائمة م11 تم مم0 , تجول في الجهاز وإختر الملف التنفيذي 
وبعد أن ينتهي ]اه من فك التجميع شغل البرنامج المراقب عن طريق المفتاح ۴9 


والآن سنقوم بطريقة جديدة في إستخراج الأوامر , لم تكن موضحة في الأمثلة السابقة , 

بعد أن ترى نافذة البرنامج المراقب قد ظهرت , إرجع إلى رااه وإضغط على حرف #۷ 

Windows pû View أو من قائمة‎ 

ستظهر لك نافذة جديدة تحتوي على أسماء الأوامر والنوافذ الموجودة ف في البرنامج , بهذا الشكل 
والآن إختر النافذة الأولى وهي النافذة الرئيسية , ثم إضغط على الزر الأيمن للماوس 

ستظهر لك قائمة إختر الأمر اlخalس Message breakpoint on Classproc‏ 

ستظهر لك نافذة لإختيار نقطة توقف على رسائل النظام , بهذا الشكل 

بالتأكيد فإننا سنقوم بإختيار الرسالة WM _°€C0MM4A ND‏ ورقمھا 111 


المهم بعد تحديد الرسالة , إضغط على زر 0K‏ , لتعود إلى قائمة النوافذ 
ستلاحظ تغير لون عنوان النافذة الأولى إلى اللون الوردي , بهذا الشكل 


والآن إرجع إلى نافذة البرنامج المراقب , تم إضغط على أول أمر 01 CMD‏ 
هذا الأمر يقوم بعرض حافظة الشاشة الموقتة 


و عند الضغط علية ستلاحظ توقف التنفيذ عند العنو ان 0040100 وله 
هذا العنوان يمثل عنوان بداية دالة معالجة الرسائل للنافذة الرئيسية , 


عرفنا بداية ونهاية الكود للأمر 1 KM2‏ من خلال طءزسء و موه وهذة أوامر مقارنة 
يعرفها المبرمجین , وإذا کنت لا تعرفها , الحل بسیط عن طریق مفتاح ۴8 
بمجرد إستمرار الضغط ستجد أن البرنامج يقارن الأوامر ثم ينفذ 1 CMD‏ وينتقل التنفيذ 


بعد أن حددنا كود الأمر الأول بقي أن نحدد طريقة إستخدام الدوال ,, والطريقة أسهل 


في البداية نجد بأنة في كود الأمر 1 KMD‏ إستخدم دالتين , كما هو موضح في الصورة 
llدllتيj GetActiveWindow s Send Message : laa‏ 

وتلاحظ بأن برنامج ]1ه يبين لك من خلال الخطوط بأن دالة مستخدمة داخل دالة أخرى 
ويبين لك بارمترات الدالة ءعهوومN‏ 4م56 , بهذا التخطيط 

ملاحظة الدالة معهوومص لمم لها أربع بارمترات , وفي لغة الإسمبلي تكتب بالعكس 
لاحظ الكود الموضبح في الصورة : 


کود 

or = NULL 0= // البارمتر الراب‎ B :PUSH 00040112 
×x0۴1400= // البارمتر الثالث‎ D :PUSH OF1400040112 

or = WM _SYSCOMMAND 112=// الاني‎ B :PUSH 1120040113 
CALL GetActiveWindow: 00401140 

// طW«”d// البارمتر الأول‎ PUSH EAX: 00401146 


CALL SendMessageA: 00401147 


لو فتحت الكود المصدري للبرنامج لوجدت أن كود الأمر بلغة السي هو 

کود 

SendMessage(GetActive Window), WM_SYSCOMMAND,SC_SCREENSAVE,NUL 
(L 


وإذا كتبت الكود الموضح بالأرقام كما هو موضح في ر11ه فإن الأمر لن يختلف 
لأن المترجم في النهاية يكتب الأرقام , مثال نفس الكود يمكن أن يكتب بلغة السي : 
کود 

;(SendMessage(GetActiveWindow(0,0x112,xOF140,0x0 


ويمكن أن يكتب نفس الكود حتى في برامج الفيجول بيسك , مع ملاحظة تغيير الرمز 
للأرقام الهكس , مثلا الرقم 1120× يكتب في الفيجول بيسك 1112 


وتستطيع إيجاد البارمترات مرتبة وجاهزة عن طريق المكدس ؟! 
إستمر في الضغط على ۴8 إلى أن تصل إلى العنوان 00401147 وو١إللة‏ 
وهو آمر الإستدعاء للدالة sendmessageA‏ وبعد أن يصل التنفيذ إلى هذا العنوان 


فقط إطلع على قسم المكدس , وهو القسم الموضح في النافذة اليمنى في الأسفل 
لتجد البارمترات مرتبة كما كتبت في الكود المصدري 


وبهذا نكون قد إستخرجنا الكود الذي كتب تحت زر الأمر دون رؤية الشفرة المصدرية 
وهذة الطريقة تعتبر من أهم الفوائد في البرمجة العكسية ( معرفة أكواد البرامج ) 


لو قمت بإكمال إستخراج الأكواد لبقية الأوامر , سيصادفك شكل آخر من الدوال وهي 
الدوال الخاصة في البرنامج .. تنقل التنفيذ ليتم تفيذ مجموعة من الدوال 

وسذأخذ مثال 999 

الأمر الثاني 02 CMD‏ مشابهة للأول مع إختلاف البارمتر الثالت 
ويستخدم لعرض قائمة إبدأً ٤ء‏ 


الأمر الثالث 03 CM‏ : 

هذا الأمر يشغل نافذة إعدادات العرض عن طريق لوحة التحكم ,, كيف؟ 

قد تكون هذة الدالة طويلة ,, لأنها تتصل بدالة داخل البرنامج تقوم بدورها بالإتصال بعدة دوال 
وهذا هو الشكل الثاني للأوامر ,, ولكن الشغلة بسيط ! 


بما أننا في بداية الموضوع حددنا نقطة توقف على كل الأوامر , فلا نحتاج لأمر آخر 
ليتوقف التنفيذ عند بداية معالجة الرسائل ,, اللون الوردي 


بعد ذلك إستمر في التنفیذ ۳8 لتتجاوز دوال المقارنة للرسائل وسينقلك التنفيذ 
إلى بداية كود الأمر 03 CM‏ عند العنوان 00401152 sوعإadd‏ 

کود 

;" PUSH ASCII "Desk.cpl: 00401152 

CALL 004014F0: 00401157 


هذة الأوامر تمثل في الشفرة المصدرية الإنتقال للدالة الداخلية الخاصة في البرنامج 
وهي LaunchControlPanelApplet‏ 


المهم علم على العنوان 00401157 وهو يمثل التعليمة ٣۸11‏ 

تم إضغط الزر الأيمن للماوس وإختر الأمر ۴٠1]‏ لينقلك البرنامج إلى عنوان جديد 
وهو العنوان 004014۴0 ءوعإ لله , ضع نقطة توقف على العنوان 

بإستخدام ۴2 , ثم نفذ البرنامج بإستخدام ۴9 , ليتوقف التنفيذ في بداية الدالة 


ستلاحظ بأن الدالة تبدأ بدوال خاصة بترتيب النصوص , ما يهمنا هي دالة 
التشغيل , إستمر في تنفيذ الكود إلى أن تصل إلى الدالة ووعع0هإ۲عCreat‏ 


لترى كيف كتبت الدالة , والبارمترات في مسجل المكدس 


أ عتقد بأن بارمترات الدالة واضحة ا وبنفس الترتيب الموجود في الكود المصدري 


بقي آخر بارمترين في الدالة وھما , pProcessInfo ڪs pStartupInfo‏ 
هذة البارمترات عبارة عن إتحاد لمجمو عة من المتغيرات 

رشن ق النتور ات اسف ادا 

إختر البنية أو الإتحاد , ثم إضغط مفتاح Ete‏ 

أو من خلال الضغط للزر الأيمن للماوس وإختيار Follow in stack‏ 


وبهذا نكون قد أنهينا الثلاث أوامر ,, وتعلمنا شيء مهم في البرمجة العكسية 


إستخراج أفكار ودوال البرامج 


هذة الشغلة لو إستمريت عليها وحاولت نبش أكواد أي برنامج تراة ,ر, بعد فترة 
ستصبح خبير في بنية البرامج وطريقة عمل الأنظمة ,, وأي شيء يحدث أمامك على الشاشة صدقني ستعرف 


